Politique

Après une cyberattaque, comment les entreprises ou collectivités visées sortent-elles du pétrin ?

16 mai 2022 à 15:20 - mise à jour 16 mai 2022 à 15:20Temps de lecture8 min
Par Jean-François Noulet, avec D. Brichard et B. Hupin

Ce week-end, le groupe hospitalier Vivalia a été victime d’une cyberattaque qui perturbe l’organisation hospitalière et entraîne l’annulation de consultations et d’interventions. C’est un exemple de plus d’une entreprise ou d’une entité ciblée par des pirates informatiques. Dans ces attaques, il est souvent question de rançon à payer. Les pirates détiennent des données et n’envisagent de les restituer qu’après le paiement d’une certaine somme. Que peuvent faire les entreprises piratées ? Des intermédiaires, négociateurs, existent pour négocier avec les hackers. Les compagnies d’assurances ont aussi investi le marché pour permettre aux entreprises de se couvrir contre certains risques.

Payer la rançon est de plus en plus souvent inévitable

"70% des victimes sont obligées de payer parce qu’il n’y a aucune autre façon de récupérer les données", c’est l’avis de Geert Baudewijns, le responsable de la société Secutec. Basée en province d’Anvers, cette société belge est l’une des 16 sociétés au monde spécialisée dans l’aide aux entreprises et dans la négociation avec les pirates informatiques.

Les cas d’attaques informatiques sur des entreprises ou des entités comme des hôpitaux ou des administrations sont de plus en plus nombreux. "Aujourd’hui, on voit entre 4 et 6 cas par semaine qui rentrent chez nous, le lundi matin, parce que c’est très souvent le week-end que cela se passe", explique Geert Baudewijns.

En général, les pirates informatiques ont mis la main sur des données essentielles au fonctionnement de l’entreprise visée. Ils exigent le paiement d’une rançon pour donner les codes permettant de débloquer les données. Pour les victimes, il y a de moins en moins de chances d’échapper au versement de cette rançon. "Il y a deux ou trois ans, 30% devaient payer. Aujourd’hui, c’est 70%, parce qu’il y a eu tellement d’argent payé dans les années passées et parce qu’ils (les pirates) sont devenus tellement forts dans les méthodes qu’ils emploient, avec un résultat nettement plus élevé qu’il y a deux ou trois ans", résume Geert Baudewijns, de Secutec.

Pour cet expert en cybersécurité, si une entreprise est victime de l’une des cinquante plus grandes "familles" de cybercriminels, il faudra payer, "si vous n’avez pas un back-up off line quelque part", car bien souvent, même les back-up des entreprises sont aussi bloqués par les pirates.

Négocier avec les pirates informatiques

"Avant de négocier, il faut d’abord savoir par où ils sont entrés", explique le spécialiste en cybercriminalité. Un examen de la situation chez le client victime de la cyberattaque et une connaissance des méthodes employées par les pirates permettent d’avancer en connaissance de cause sur le chemin de la négociation. "Une négociation peut prendre quelques semaines", explique Geert Baudewijns.

En règle générale, l’expert estime qu’il ne faut pas payer la rançon demandée. En effet, payer signifie enrichir les pirates et leur permettre de se renforcer. "Plus on met de l’argent chez eux, au plus forts ils deviennent", constate Geert Baudewijns. Le paiement d’une rançon risque aussi de mettre l’entreprise qui paye en difficulté vis-à-vis de la justice. En effet, si, par exemple, une organisation terroriste est à la base du piratage, le versement d’une rançon peut être assimilé à un acte de financement du terrorisme. Autant le savoir. Il est donc conseillé aux entreprises victimes de cyberattaques de porter plainte.

 

Cependant, nous l'expliquions ci-dessus, dans de plus en plus de cas, les entités visées par une attaque n’ont plus d’autres solutions, car payer est le moyen de récupérer les données volées. Dans ces cas-là, le négociateur entre en contact avec les hackers. "Quand on paye, l’organisation criminelle va aussi partager ses données. Ils vont donner leurs données et dire qu’ils sont entrés de telle ou telle façon", explique Geert Baudewijns. Son entreprise a, au cours des cinq dernières années travaillé sur plus de 300 dossiers. "Ils ont tous réussi", résume Geert Baudewijns. Cela signifie que le paiement de la rançon a permis à l’entreprise ciblée par l’attaque de récupérer ses données.

Négocier le montant de la rançon pour le réduire, voire pour annuler la rançon est rare, mais possible. Entre l’objectif de la victime de récupérer ses données et celui des pirates d’obtenir de l’argent, il est possible de trouver un compromis. "Au début mars, une association qui travaille avec des gens handicapés a été victime. Pendant une petite semaine, on a pu négocier un deal. Cette organisation-là a pu avoir les clés (pour débloquer les données) gratuitement", donne comme exemple le patron de Secutec.

Négocier avec des pirates pour débloquer un système informatique ou récupérer des données prend une à deux semaines mais tout n’est pas terminé une fois l’argent versé. "Une fois que vous avez les clés, il faut entre un mois et demi et deux mois avant d’être à nouveau en mode business as usual", résume Geert Baudewijns. Même si l’on a payé, on reste, en quelque sorte, prisonnier du pirate. "Il faut du temps pour que tout se décrypte. Il faut aussi reconfigurer le réseau car ils (les pirates) ont tous les mots de passe du réseau. Donc, il faut recommencer à zéro", explique Geert Baudewijns.

Les entreprises, les collectivités et les associations peuvent aussi s’assurer contre le risque de cyberattaque

Les compagnies d’assurances ont aussi développé des produits à destination des entreprises ou des administrations et associations pour leur permettre de se couvrir contre les risques liés aux cyberattaques. En Belgique, plusieurs compagnies sont actives dans ce secteur, Ethias (pour les collectivités et associations), DVV ou Axa pour ne citer que celles-là. Le marché de l’assurance des risques de cyberattaques visant des grandes entreprises est plutôt aux mains de compagnies anglo-saxonnes qui ont développé ces produits depuis plus longtemps et qui ont plus de moyens pour couvrir ces risques importants.

Le rapport annuel 2021 d’Assuralia, la fédération du secteur des assurances, consacrait une partie à la question de la cybercriminalité et à la couverture de ce risque et donnait la parole à des responsables d’Ethias et de Vanbreda. "25% de nos clients ont souscrit une cyberassurance", expliquait Tom Van Britsom, de chez Vanbreda Risk & Benefits, à propos des entreprises clientes de l’assureur. "Ces contrats ont assurément déjà prouvé leur utilité : un sinistre a déjà été enregistré dans le cadre d’une cyberassurance sur quatre au cours des dix dernières années", ajoutait Tom Van Britsom.

Chez Axa, les produits d’assurance "cyberprotection" sont avant tout destinés aux très petites entreprises. Cela représente "quelques pourcents de nos assurés, je ne peux pas dire qu’on a dix pourcents qui souscrivent à ce genre d’assurance", explique Pierre-Alexandre David, responsable des assurances destinées aux entreprises, dont les assurances "cyberprotection".

En matière de primes annuelles, pour ces petites entreprises, "on commence à 350 euros, jusqu’à 1000 euros pour le scope que nous avons de petites entreprises", explique Pierre-Alexandre David. Pour ce prix, l’entreprise pourra se tourner vers son assureur en cas de cyberattaque. Les frais couverts sont d’abord des "frais d’analyse", détaille Pierre-Alexandre David, pour comprendre ce qu’il s’est passé, ensuite les frais nécessaires à supprimer un éventuel virus. Autre frais, "les frais pour reconstituer les données à partir de back-up", explique le responsable de chez Axa. Données effacées, données cryptées, l’assureur pourra ainsi intervenir dans les frais nécessaires à la remise sur pied des bases de données, par exemple s’il faut "mettre du personnel pour réencoder certaines choses", poursuit Pierre-Alexandre David. L’assureur interviendra aussi dans les "frais de vérification pour contrôler la validation des informations qui auront été reconstituées", ajoute le responsable chez Axa. L’assureur pourra aussi aider à contacter les clients ou partenaires de l’entreprise dont les données ont été piratées.

Ces frais que prendra en charge l’assureur peuvent "vraiment chiffrer", explique Valérie Kriescher, responsable des produits d’assurances "B2B" chez Ethias. "Si l’attaque réussit, elle peut atteindre jusqu’au back-up de l’entité et les frais de restauration peuvent s’élever facilement à quelques centaines de milliers d’euros, en fonction de la taille de l''entité", poursuit Valérie Kriescher. Le secteur de l’assurance travaille dans ce domaine de la "cyber assurance" avec des sociétés externes. "Il y a des sociétés spécialisées qui ont des experts qui vont sur place, qui vont analyser le hardware, voir ce qu’ils peuvent récupérer", poursuit la responsable chez Ethias.

Si l’attaque réussit, elle peut atteindre jusqu’au back-up de l’entité et les frais de restauration peuvent s’élever facilement à quelques centaines de milliers d’euros, en fonction de la taille de l''entité

En contrepartie, les entreprises qui s’assurent contre le risque de cyberattaques doivent s’engager à respecter des mesures de sécurité, "des exigences de base", comme le précise Valérie Kriescher. Chez Ethias, "on propose à nos clients publics un accompagnement IT en amont", explique-t-elle. Pour les clients qui n’ont pas encore pris toutes les précautions de base, l’assureur peut aussi les mettre sur le chemin, "pour les aider à mettre en place une série de protections de leurs systèmes et de leurs logiciels", explique Valérie Kriescher. "L’idée de toutes les compagnies d’assurances, ce n’est plus seulement d’offrir un produit d’assurance, mais vraiment un écosystème, soit l’assurance, mais aussi les services d’un prestataire pour s’assurer que le client continue bien à prendre toutes les mesures nécessaires pour éviter une attaque", poursuit Valérie Kriescher.

La responsable de ces produits d’assurance chez Ethias fait cependant remarquer qu’il y a une tendance à l’augmentation des primes à payer pour une couverture contre le risque "cyber". "Il y a vraiment, chez les réassureurs, une volonté de majoration des primes très importante", explique Valérie Kriescher. "Chez nous aussi, on a été contraints de majorer les primes de manière importante, quasi fois deux, parce que globalement le marché de l’assurance cyber est déficitaire", poursuit la responsable d’Ethias.

L’assurance peut-elle couvrir le montant de la rançon à payer aux cyberpirates ?

C’est une question sensible. On l’a expliqué plus haut, payer une rançon, c’est prendre le risque de financer des réseaux terroristes ou mafieux. C’est aussi donner des moyens financiers plus importants aux cyberpirates et financer leurs activités.

Dans ce contexte, la position des assureurs est très prudente. "La rançon peut être couverte avec un certain nombre de réserves", explique Pierre-Alexandre David, de chez Axa. "En général, les assureurs précisent que la rançon peut être payée si c’est légalement possible", résume Pierre-Alexandre David. Autrement, en théorie, cela exclut de couvrir le paiement d’une rançon à des terroristes, par exemple. "Ce qui fait que, dans la pratique, on la paiera rarement, parce qu’il y a une exigence de savoir à qui on paye", ajoute Pierre-Alexandre David.

Des contacts pris dans le secteur des assurances, il ressort que dans certains cas, les assureurs couvrent, dans certaines limites, le montant de la rançon et payent cette rançon, car elle est parfois moins élevée que le montant nécessaire à la restauration du système informatique de l’entreprise touchée.

"La position de la plupart des compagnies d’assurances, c’est de dire qu’on ne couvre pas la rançon en tant que telle, mais qu’on couvre la reconstitution des données", explique Valérie Kriescher, chez Ethias, "Dans certains pays, comme en France, c’est même interdit de couvrir la rançon", poursuit-elle. Du côté des réassureurs, les sociétés qui couvrent les activités des assureurs, la tendance va dans ce sens. "Les réassureurs souhaitent qu’on ne les couvre plus du tout", ajoute Valérie Kriescher.

On a aussi constaté que les hackers avaient tendance à renouveler les attaques contre les entreprises qui ont déjà accepté de payer une rançon.

 

Sur le même sujet

La Chancellerie du Premier ministre visée par une cyberattaque : les pirates ont tenté de voler des données personnelles

Belgique

Christine Lagarde, la présidente de la Banque Centrale Européenne, victime d’une cyberattaque via WhatsApp : pas de données volées

Monde

Articles recommandés pour vous